借助KB5004296(及后续版本)以及已集成到ghost win11中的功能，Microsoft 简化了允许或阻止设备安装的过程。

到目前为止，管理员只能在组策略中输入类、设备 ID 或实例 ID，以便允许或阻止安装。随着本地计算机指南-计算机配置-管理模板-系统-设备安装-设备安装限制下的新组策略“允许和阻止...更加人性化。

• 有了这项新政策，您不再需要知道不同类别的设备来防止只安装 USB 类别。使用新策略，您可以将脚本重点放在 USB 类上，并确保不会阻止其他类，除非 IT 管理员已设置。”

• “在过去，任何阻止策略都优先于任何许可策略，创建了一组定义和一组严格的允许/禁止设备，每次出现一组新设备时都会产生更新问题。”

有了这个新指南，IT 管理员现在可以更轻松地阻止设备安装，例如，为了提高安全性。这意味着无法连接任何可能导致数据被盗的设备。